Como encontrar seu seletor DKIM: 4 métodos explicados passo a passo
Por CaptainDNS
Publicado em 18 de fevereiro de 2026
- O seletor DKIM é um identificador de texto (ex:
google,selector1,k1) que localiza a chave pública no DNS - Método 1: Abrir os cabeçalhos de um email recebido e procurar
s=na linhaDKIM-Signature - Método 2: Consultar o console admin do seu provedor de email (Google, Microsoft, etc.)
- Método 3: Testar manualmente com
digounslookupse você conhece o provedor - Método 4: Usar uma ferramenta de descoberta automática para escanear 100+ seletores conhecidos por brute-force DNS
Você quer verificar sua configuração DKIM, mas a ferramenta que está usando pede um "seletor" e você não tem ideia do que é. Você não está sozinho. Esse é o primeiro obstáculo que a maioria dos administradores encontra ao descobrir a autenticação de email.
O seletor DKIM é um identificador de texto que permite localizar a chave pública DKIM no DNS de um domínio. Sem ele, é impossível verificar uma assinatura DKIM. A boa notícia: existem várias formas de encontrá-lo, mesmo que ninguém tenha informado a você.
Este guia apresenta 4 métodos concretos, do mais simples ao mais técnico. Seja você administrador de sistemas, responsável por marketing ou desenvolvedor, um deles vai funcionar para a sua situação.
Lembrete: o que é um seletor DKIM?
Quando um servidor de email assina uma mensagem com DKIM, ele adiciona um cabeçalho DKIM-Signature que contém, entre outras coisas, duas informações essenciais:
d=: o domínio signatário (ex:captaindns.com)s=: o seletor (ex:google,selector1,s1)
O destinatário combina esses dois valores para buscar a chave pública no DNS:
<seletor>._domainkey.<domínio>
Por exemplo, para o domínio captaindns.com com o seletor google:
google._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIj..."
Cada provedor de email usa seu próprio seletor. Um domínio pode ter vários (um por serviço de envio). Por isso não existe um valor "padrão" universal.
Método 1: Extrair o seletor dos cabeçalhos de email
Este é o método mais confiável. Cada email assinado com DKIM contém o seletor em texto claro nos seus cabeçalhos.
Etapa 1: Abrir os cabeçalhos completos
| Cliente de email | Acesso aos cabeçalhos |
|---|---|
| Gmail (web) | Abrir a mensagem > Menu ⋮ > "Mostrar original" |
| Outlook (web) | Abrir a mensagem > Menu ⋯ > "Exibir origem da mensagem" |
| Apple Mail | Visualizar > Mensagem > Cabeçalhos completos |
| Thunderbird | Exibir > Cabeçalhos > Todos |
Etapa 2: Procurar DKIM-Signature
Nos cabeçalhos, procure a linha que começa com DKIM-Signature::
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=captaindns.com; s=google; t=1739800000;
h=from:to:subject:date:message-id;
bh=abcdef123456...;
b=ABCDEF789012...
Etapa 3: Ler o valor de s=
O seletor é o valor após s=. No exemplo acima: google.
Atenção: um email pode conter várias assinaturas DKIM (uma por serviço pelo qual passou). Procure aquela cujo d= corresponde ao seu domínio.
Quando usar este método?
- Você tem acesso a um email enviado pelo domínio a ser verificado
- Você quer o seletor exato usado em produção
- Você suspeita que o seletor mudou recentemente
Método 2: Consultar o console admin do provedor
Cada provedor de email exibe o seletor DKIM no seu console de administração.
Google Workspace
- Abrir o Console de administração Google
- Menu > Aplicativos > Google Workspace > Gmail
- "Autenticação de emails" > clicar no domínio
- O seletor é exibido (padrão:
google)
Microsoft 365
- Abrir o Centro de administração do Exchange
- Fluxo de emails > Regras > DKIM
- Selecionar o domínio
- Os seletores são exibidos (padrão:
selector1eselector2)
Outros provedores
| Provedor | Localização | Seletor padrão |
|---|---|---|
| SendGrid | Settings > Sender Authentication > Domain | s1, s2 |
| Mailchimp | Website > Domains > Authentication | k1, k2, k3 |
| Postmark | Sender Signatures > DNS Settings | pm |
| HubSpot | Settings > Domain & URLs > Email Sending | hs1, hs2 |
| Brevo | Configurações > Remetentes > Domínios | mail, sendinblue |
Quando usar este método?
- Você é administrador do serviço de email
- Você está configurando o DKIM pela primeira vez
- Você procura o seletor antes de enviar um primeiro email
Método 3: Consultar o DNS manualmente
Se você conhece o provedor de email, pode testar diretamente os seletores conhecidos via uma consulta DNS.
Com dig (Linux/macOS)
dig TXT google._domainkey.captaindns.com +short
Resultado se o seletor existe:
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOC..."
Resultado se o seletor não existe: nenhuma saída (NXDOMAIN).
Com nslookup (Windows)
nslookup -type=TXT google._domainkey.captaindns.com
Com PowerShell
Resolve-DnsName -Name "google._domainkey.captaindns.com" -Type TXT
Quais seletores testar?
Se você não sabe qual provedor é utilizado, teste primeiro os mais comuns:
dig TXT google._domainkey.captaindns.com +short
dig TXT selector1._domainkey.captaindns.com +short
dig TXT selector2._domainkey.captaindns.com +short
dig TXT s1._domainkey.captaindns.com +short
dig TXT k1._domainkey.captaindns.com +short
dig TXT default._domainkey.captaindns.com +short
Quando usar este método?
- Você tem acesso ao terminal/CLI
- Você conhece o provedor provável
- Você quer verificar se um seletor específico existe no DNS
Método 4: Ferramenta de descoberta automática
Se você não sabe qual provedor é utilizado, ou se quer um inventário completo, uma ferramenta de brute-force DNS automatizada é a solução mais eficiente.
O princípio: a ferramenta testa automaticamente dezenas de seletores conhecidos consultando o DNS. É exatamente o método 3, mas automatizado para 50 a 120 seletores.
Como funciona?
- A ferramenta detecta seus provedores de email via os registros MX
- Ela prioriza os seletores conhecidos desses provedores
- Ela testa em paralelo cada seletor via consultas DNS TXT
- Ela analisa cada registro DKIM encontrado (tipo de chave, comprimento, validade)
Vantagens
| Vantagem | Detalhe |
|---|---|
| Não precisa de email | Funciona apenas com o DNS |
| Não precisa de acesso admin | Verificação externa |
| Descobre seletores esquecidos | Provedores antigos ainda configurados |
| Análise automática | Alerta sobre chaves fracas (1024 bits) |
Limitações
O DNS não permite listar todos os subdomínios de uma zona. Os seletores personalizados (ex: campaign-2024-q3) ou gerados dinamicamente (hash, UUID) não serão detectados por brute-force.
Quando usar este método?
- Você não conhece o provedor de email
- Você está auditando um domínio de terceiros
- Você quer um inventário completo antes de implantar DMARC
p=reject
Seletores DKIM padrão: a referência rápida
| Provedor | Seletores DKIM | Tipo |
|---|---|---|
| Google Workspace | google | |
| Microsoft 365 | selector1, selector2 | |
| SendGrid | s1, s2, smtpapi | Transacional |
| Mailchimp | k1, k2, k3 | Marketing |
| Amazon SES | amazonses | Transacional |
| Postmark | pm | Transacional |
| HubSpot | hs1, hs2 | Marketing |
| Brevo (Sendinblue) | mail, sendinblue | Marketing |
| Zoho Mail | zoho, zmail | |
| Mailgun | smtp, pic, k1 | Transacional |
Um domínio ativo geralmente usa de 2 a 4 seletores: um para o email principal, um ou dois para ferramentas de marketing, e às vezes um para o transacional.
Comparação dos 4 métodos
| Critério | Cabeçalhos email | Console admin | DNS manual | Ferramenta automática |
|---|---|---|---|---|
| Confiabilidade | Muito alta | Alta | Alta | Alta |
| Acesso necessário | Email recebido | Conta admin | Terminal | Nenhum |
| Descobre todos os seletores | Não (1 por email) | Não (1 provedor) | Não (1 por consulta) | Sim (50-120 testados) |
| Nível técnico | Baixo | Baixo | Médio | Baixo |
| Tempo | 2 min | 5 min | 10 min | 30 seg |
| Seletor exato em prod | Sim | Nem sempre | Se adivinhado | Sim |
Recomendação: comece pelo método 1 se você tem um email em mãos. Use o método 4 para uma auditoria completa.
Plano de ação recomendado
- Verificação rápida: abra um email recebido, procure
s=emDKIM-Signature(método 1) - Inventário completo: execute um scan automático para descobrir todos os seletores ativos (método 4)
- Validação: verifique cada seletor encontrado com um DKIM Checker para confirmar a validade da chave pública
- Documentação: anote seus seletores ativos e o provedor associado para referência futura
- Limpeza: remova os registros DNS dos seletores DKIM de provedores que você não usa mais
FAQ
O que é um seletor DKIM?
Um seletor DKIM é um identificador de texto que permite localizar a chave pública DKIM no DNS. Ele é publicado no endereço seletor._domainkey.dominio.com. Cada provedor de email usa seu próprio seletor: Google usa google, Microsoft usa selector1 e selector2, SendGrid usa s1 e s2.
Onde encontrar o seletor DKIM em um email?
Abra os cabeçalhos completos do email (no Gmail: menu ⋮ > "Mostrar original"). Procure a linha DKIM-Signature: e leia o valor após s=. Esse é o seu seletor. Atenção, um email pode conter várias assinaturas DKIM se a mensagem passou por vários serviços.
Como encontrar o seletor DKIM sem ter um email?
Duas opções: consulte o console admin do seu provedor de email (Google Admin, Exchange, etc.), ou use uma ferramenta de descoberta automática que testa os seletores conhecidos por brute-force DNS. A segunda opção não requer nenhum acesso à conta.
Quais são os seletores DKIM padrão do Google Workspace?
O Google Workspace usa o seletor google por padrão. O registro DKIM é publicado em google._domainkey.captaindns.com. Algumas configurações avançadas podem usar um seletor personalizado definido no Console de administração Google.
Quais são os seletores DKIM do Microsoft 365?
O Microsoft 365 usa dois seletores: selector1 e selector2. Eles são publicados via registros CNAME que apontam para os servidores Microsoft. A rotação entre os dois seletores é gerenciada automaticamente pela Microsoft.
É possível ter vários seletores DKIM no mesmo domínio?
Sim, e isso é bastante comum. Um domínio ativo geralmente usa de 2 a 4 seletores: um para o email (Google/Microsoft), um para marketing (Mailchimp/HubSpot), e um para o transacional (SendGrid/Postmark). Cada seletor possui sua própria chave pública no DNS.
O seletor DKIM é confidencial?
Não. O seletor DKIM é uma informação pública. Ele é visível nos cabeçalhos de cada email enviado e aponta para um registro DNS público. Conhecer o seletor não compromete a segurança. Apenas a chave privada (armazenada no servidor de envio) deve permanecer confidencial.
Glossário
- Seletor DKIM: identificador de texto que permite localizar a chave pública DKIM no DNS no endereço
seletor._domainkey.dominio. - DKIM-Signature: cabeçalho adicionado a um email pelo servidor de envio, contendo a assinatura criptográfica e os metadados (domínio, seletor, algoritmo).
- _domainkey: namespace DNS reservado para chaves DKIM. Todos os registros DKIM são publicados em
<seletor>._domainkey.<domínio>. - CNAME: tipo de registro DNS usado por alguns provedores (Microsoft, SendGrid) para delegar a gestão da chave DKIM para seus próprios servidores.
- Brute-force DNS: técnica que consiste em testar um catálogo de seletores conhecidos consultando o DNS, para descobrir os seletores configurados para um domínio.
Descubra seus seletores DKIM em poucos segundos: use o DKIM Selector Finder para escanear automaticamente 100+ seletores conhecidos no seu domínio.
Guias DKIM relacionados
- O que é um registro DKIM? O guia completo: funcionamento, tags DNS, RSA vs Ed25519 e rotação de chaves.
- DKIM fail: todas as causas e como corrigi-las (em breve)
